KVKK ve Kişisel Verilerin Korunması

Uyum ve Olay Yönetimi

👤 Güvenlik Uzmanı★ 2/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Kişisel Verileri Koruma Kurulu, sızdırılan tek bir müşteri tablosu yüzünden şirketlere milyonlarca liralık idari para cezası kesebiliyor; üstelik bir veri ihlalini öğrendiğinizde Kurul'a bildirim için yalnızca 72 saatiniz var. Peki masanızdaki o Excel dosyasındaki TC kimlik numaraları sizce 'sıradan veri' mi, yoksa kanunla korunan kişisel veri mi?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu (KVKK) bir çalışanın günlük işinde ne anlama geldiğiyle öğreniyoruz: kişisel verinin ne olduğu, hangi ilkelere uymak zorunda olduğumuz, ilgili kişinin (verisi işlenen kişinin) hakları ve bir veri ihlalinde ne yapmamız gerektiği. Soldaki interaktif şifreleme akışı sahnesinde (secEncryptionFlow3D) açık metin bir kişisel verinin nasıl şifrelenerek koruma altına alındığını, anahtarın rolünü ve şifreli verinin saldırgan için neden anlamsız olduğunu adım adım inceleyip dene — çünkü KVKK'nın istediği 'uygun teknik tedbir'in en güçlülerinden biri şifrelemedir.

Anlatım

KİŞİSEL VERİ NEDİR? KVKK Madde 3'e göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin HER TÜRLÜ bilgidir. Yani yalnızca ad-soyad değil; TC kimlik numarası, telefon, e-posta, adres, IP adresi, konum, ses kaydı, fotoğraf, çerez kimliği ve hatta tek başına anlamsız görünse de bir kişiye ulaştırabilen veriler de kişisel veridir. • ÖZEL NİTELİKLİ (HASSAS) KİŞİSEL VERİ (Madde 6): Sağlık, cinsel hayat, ırk/etnik köken, siyasi/felsefi/dini görüş, dernek-vakıf-sendika üyeliği, ceza mahkûmiyeti, kılık-kıyafet ve biyometrik/genetik veri. Bunların işlenmesi çok daha sıkı şartlara bağlıdır; sağlık ve cinsel hayat verisi kural olarak yalnızca açık rıza ya da kanunun açıkça izin verdiği hallerde işlenir. • TÜZEL KİŞİ değildir: KVKK yalnızca GERÇEK kişileri korur; bir şirketin vergi numarası kişisel veri sayılmaz, ama o şirketteki bir çalışanın iletişim bilgisi sayılır. NEDEN ÖNEMLİ? Kişisel veriyi yanlış işlemek hem ilgili kişinin temel hak ve özgürlüğünü ihlal eder hem de kurumu idari para cezası, tazminat ve itibar kaybıyla karşı karşıya bırakır. Verinin sahibi kurum değil, o verinin ait olduğu kişidir; kurum yalnızca emanetçidir. TEMEL KAVRAMLAR • VERİ SORUMLUSU: Kişisel verinin işlenme amacını ve yöntemini belirleyen kurum (genelde işvereniniz). • VERİ İŞLEYEN: Veri sorumlusu adına veriyi işleyen taraf (örn. bulut hizmeti sağlayıcısı, bordro firması). İşleyen, sorumlunun talimatıyla ve sözleşmeyle hareket eder. • İLGİLİ KİŞİ: Verisi işlenen gerçek kişi (müşteri, çalışan, ziyaretçi). • VERBİS: Veri Sorumluları Sicil Bilgi Sistemi; belirli eşikleri aşan veri sorumluları buraya kaydolmak zorundadır. İŞLEME İLKELERİ (KVKK Madde 4 — ezberlenmeli) 1) Hukuka ve dürüstlük kurallarına uygunluk. 2) Doğru ve güncel olma. 3) Belirli, açık ve meşru amaçlar için işleme. 4) Amaçla bağlı, sınırlı ve ölçülü olma (gereğinden fazla veri TOPLAMA). 5) Mevzuatta öngörülen veya işleme amacının gerektirdiği süre kadar SAKLAMA (sonra silme/yok etme/anonimleştirme). İŞLEME ŞARTLARI (Madde 5) Kişisel veri ya AÇIK RIZA ile ya da kanunun saydığı şartlardan biriyle (kanunda açıkça öngörülme, sözleşmenin ifası, hukuki yükümlülük, bir hakkın tesisi/kullanılması/korunması, meşru menfaat vb.) işlenebilir. ÖNEMLİ: Açık rıza tek yol değildir; çoğu iş süreci (örn. bordro, fatura) kanuni yükümlülüğe dayanır. Açık rıza ise özgür iradeyle, belirli bir konuya ilişkin ve BİLGİLENDİRMEYE dayalı olmalıdır — önceden işaretli kutucuk ya da 'kabul etmezsen hizmet yok' baskısı geçerli açık rıza DEĞİLDİR. İLGİLİ KİŞİNİN HAKLARI (Madde 11 — başvuru gelirse paniğe gerek yok, yönlendir) Herkes kurumdan şunları talep edebilir: verisinin işlenip işlenmediğini öğrenme, bilgi isteme, işleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/dışında aktarıldığı 3. kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini, şartları oluşmuşsa silinmesini/yok edilmesini isteme ve zarara uğramışsa tazminat talep etme. Kurum bu başvuruları kural olarak en geç 30 gün içinde cevaplamak zorundadır. VERİ İHLALİ VE 72 SAAT KURALI Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi (sızdırma, kayıp, fidye yazılımı, yanlış kişiye e-posta vb.) bir VERİ İHLALİDİR. Veri sorumlusu, ihlali öğrendiği tarihten itibaren EN KISA SÜREDE ve 72 SAAT içinde Kişisel Verileri Koruma Kurulu'na bildirmek, etkilenen ilgili kişileri de makul sürede bilgilendirmek zorundadır. Bu yüzden bir çalışan olarak göreviniz: şüpheli bir durumu fark ettiğiniz an gecikmeden olay bildirim kanalına raporlamaktır — saatler kritiktir. ISO 27001 İLE BAĞLANTI ISO 27001:2022 bilgi güvenliği yönetimini, KVKK ise kişisel verinin hukukunu düzenler; ikisi el ele çalışır. Annex A 5.34 (Gizlilik ve kişisel verilerin korunması — PII) doğrudan kişisel veriyi adresler; Annex A 8.24 (Kriptografi kullanımı) soldaki sahnedeki şifrelemeyi, Annex A 5.12/5.13 veri sınıflandırma ve etiketlemeyi, Annex A 5.24-5.26 ise olay (ihlal) yönetimini kapsar. Yani KVKK'nın istediği 'uygun teknik ve idari tedbirler', büyük ölçüde ISO 27001 kontrolleriyle hayata geçirilir. YAPILMASI GEREKENLER (DO) • Yalnızca işin için GEREKLİ kişisel veriyi topla ve gör (veri minimizasyonu). • Kişisel veri içeren dosyaları şifrele, erişimi 'bilmesi gereken' ile sınırla. • Saklama süresi dolan veriyi politikaya uygun şekilde sil/anonimleştir. • Bir ilgili kişi başvurusu (Madde 11) gelirse doğru kanala/KVKK irtibat kişisine yönlendir. • Şüpheli bir veri sızıntısını GECİKMEDEN raporla (72 saat işliyor). YAPILMAMASI GEREKENLER (DON'T) • Müşteri/çalışan listesini kişisel cihazına, kişisel e-postana ya da onaysız bir buluta kopyalama. • 'İleride lazım olur' diye gereğinden fazla veri toplama veya süresiz saklama. • Hassas (özel nitelikli) veriyi şifresiz, parolasız dosyalarda tutma. • İlgili kişinin verisini açık rıza/işleme şartı olmadan başka amaçla kullanma veya 3. kişiye gönderme. • Önceden işaretli kutucukla 'açık rıza' alıyormuş gibi yapma — bu geçersizdir ve yaptırım doğurur.

📌 Senaryolar

📌 Senaryo 1 (Veri minimizasyonu — amaçla sınırlılık): Pazarlama için yeni bir kampanya formu hazırlıyorsun ve 'her ihtimale karşı' kullanıcının doğum tarihi, TC kimlik no ve anne kızlık soyadını da soracaksın.
  Doğru davranış: Yalnızca kampanyanın gerçekten gerektirdiği veriyi (örn. ad ve e-posta) iste; TC kimlik no ve anne kızlık soyadı gibi alanları forma koyma.
  Sonuç/Neden: KVKK Madde 4 'amaçla bağlı, sınırlı ve ölçülü olma' ilkesini emreder; gereksiz veri toplamak hem ihlaldir hem de sızıntı anında zararı büyütür (ISO 27001 Annex A 5.34 PII koruması).

📌 Senaryo 2 (Veri ihlali — yanlış alıcı): 200 müşterinin ad ve telefon bilgisini içeren bir Excel'i yanlışlıkla şirket dışındaki bir e-posta adresine gönderdiğini fark ettin.
  Doğru davranış: Hatayı saklamaya çalışma; DERHAL yöneticine ve KVKK irtibat kişisine/olay bildirim kanalına haber ver, alıcıdan dosyayı silmesini iste ve süreci başlat.
  Sonuç/Neden: Bu bir veri ihlalidir; veri sorumlusu en geç 72 saat içinde Kurul'a bildirmekle yükümlüdür. Senin hızlı raporun bu yasal sürenin kaçırılmamasını sağlar (ISO 27001 Annex A 5.24-5.26 olay yönetimi).

📌 Senaryo 3 (İlgili kişi başvurusu — Madde 11): Bir müşteri sana e-posta atıp 'Benim hakkımda hangi verileri tutuyorsunuz, hepsini silin' diyor. Ne yapacağını bilmiyorsun.
  Doğru davranış: Talebi görmezden gelme ve kendi kafana göre cevaplama; başvuruyu KVKK irtibat kişisine/hukuk-uyum birimine yönlendir, böylece yasal süre içinde (kural olarak 30 gün) usulüne uygun cevap verilsin.
  Sonuç/Neden: KVKK Madde 11 ilgili kişiye bilgi isteme ve şartları oluşmuşsa silme hakkı verir; başvuruyu doğru kanala iletmek hem hakkın korunmasını hem de kurumun ceza riskinden kaçınmasını sağlar.

📌 Senaryo 4 (Açık rıza tuzağı): Web sitesi formuna 'Pazarlama iletileri almayı kabul ediyorum' kutucuğunu ÖNCEDEN işaretli (varsayılan tikli) koymak isteniyor; böylece daha çok kişi 'onaylamış' olacak.
  Doğru davranış: Kutucuğu boş (işaretsiz) bırak ve kullanıcının kendi iradesiyle işaretlemesini sağla; metni açık ve anlaşılır bilgilendirmeyle ver.
  Sonuç/Neden: KVKK'da açık rıza özgür irade + belirli konu + bilgilendirme şartına bağlıdır; önceden işaretli kutucukla alınan rıza GEÇERSİZDİR ve Kurul tarafından yaptırıma uğrar.

📌 Senaryo 5 (Hassas veri ve şifreleme): Sağlık çalışanlarına ait bağışıklama (aşı) kayıtlarını içeren bir tabloyu paylaşılan bir klasörde, şifresiz olarak saklıyorsun çünkü 'herkes kolayca erişsin'.
  Doğru davranış: Sağlık verisi özel nitelikli kişisel veridir; dosyayı şifrele, erişimi yalnızca bilmesi gereken kişilere sınırla ve saklama süresi politikaya uygun olsun.
  Sonuç/Neden: KVKK Madde 6 özel nitelikli veriyi sıkı koruma altına alır ve Madde 12 'uygun güvenlik düzeyini sağlamak' için teknik tedbir ister; şifreleme (ISO 27001 Annex A 8.24) bir sızıntıda veriyi saldırgan için anlamsız kılar.

Özet

• Kişisel veri = kimliği belirli/belirlenebilir gerçek kişiye ait HER bilgi; sağlık, biyometri, din vb. ise 'özel nitelikli' ve daha sıkı korunur. • KVKK Madde 4 ilkeleri: hukuka uygunluk, doğruluk/güncellik, amaçla sınırlılık, ölçülülük ve süreli saklama (sonra sil/anonimleştir). • İşleme ya açık rıza ya da kanuni bir işleme şartına dayanır; önceden tikli kutucuk geçerli rıza değildir. • İlgili kişinin Madde 11 hakları (öğrenme, düzeltme, silme, tazminat) gelir; başvuruyu doğru kanala yönlendir, kural olarak 30 gün içinde cevaplanır. • Veri ihlalini öğrendiğinde 72 saat içinde Kurul'a bildirim zorunlu — şüpheyi gecikmeden raporla. • KVKK'nın 'uygun teknik tedbirleri' ISO 27001 kontrolleriyle (Annex A 5.34 PII, 8.24 kriptografi, 5.24-5.26 olay yönetimi) hayata geçer; veri minimizasyonu ve şifreleme en güçlü savunmalardır.

✅ Mini-Test (5)

1.Aşağıdakilerden hangisi KVKK kapsamında 'özel nitelikli (hassas) kişisel veri' DEĞİLDİR?

2.Bir veri sorumlusu, kişisel veri ihlalini öğrendiğinde Kişisel Verileri Koruma Kurulu'na en geç ne kadar sürede bildirim yapmalıdır?

3.Web formunda önceden işaretli (varsayılan tikli) bir kutucukla alınan onay, KVKK açısından geçerli bir 'açık rıza' sayılır.

4.KVKK Madde 4'teki işleme ilkelerinden hangisi 'gereğinden fazla veri toplama' davranışını doğrudan yasaklar?

5.Kişisel verinin gerçek sahibi onu işleyen kurumdur; kurum bu veriyi istediği gibi kullanabilir.

🧩 Uygulama Soruları (5)

1.Bir müşteri sana yazılı başvurup 'Hakkımda tuttuğunuz tüm kişisel verileri öğrenmek ve yanlış olanları düzelttirmek istiyorum' diyor. En doğru davranış nedir?

2.Departmanındaki herkesin TC kimlik no ve sağlık bilgisini içeren bir tabloyu, paylaşılan bir klasöre şifresiz koymak üzeresin. Doğru yaklaşım hangisidir?

3.Evden çalışırken işin daha hızlı ilerlesin diye 5.000 müşterinin iletişim listesini kişisel laptopuna kopyalamayı düşünüyorsun. En uygun davranış nedir?

4.Bir tedarikçinin (veri işleyen) kişisel verileri kurum adına işlemesi için, taraflar arasında bir sözleşmenin ve veri sorumlusunun talimatının bulunması gerekir.

5.Yıllar önce ayrılmış eski müşterilerin verilerini 'belki bir gün lazım olur' diye süresiz saklamaya devam ediyorsun. KVKK açısından en doğru yaklaşım hangisidir?

← Mobil Cihaz ve BYOD Güvenliği Güvenlik Olayı Bildirimi ve Mü →

← Tüm modüllere dön · Güvenlik Sözlüğü